Protection des données et conformité

Pour aider votre entreprise à assurer sa sécurité et sa conformité, optez pour le modèle de sécurité, l'infrastructure d'envergure mondiale et la capacité d'innovation sans égal de Google Cloud. Dans le cadre de notre engagement pour la transparence et la protection de la vie privée, nous offrons des informations exclusives sur les bonnes pratiques de Google Cloud relatives à la sécurité, la gestion des risques et la conformité.

Chiffrement au repos

Chiffrement des données stockées sur un disque ou un support de sauvegarde tant au niveau de l'appareil de stockage que du système de stockage : Google Cloud est le premier grand fournisseur de services cloud à offrir ces fonctionnalités par défaut.

Intégrité du déploiement

Permet de garantir que le code et les configurations déployés dans l'environnement de production de Google Cloud sont correctement examinés et autorisés.

Accès privilégié

Permet de gérer l'accès du personnel de Google Cloud aux données des clients stockées dans Google Cloud à des fins de consultation ou de modification.

Conformité

Auditer régulièrement les services Google Cloud afin d'assurer la conformité avec les consignes, les cadres et les exigences réglementaires.

Détails

Dernière modification : 21 mai 2020

Chiffrement au repos

Le chiffrement au repos désigne le chiffrement de données stockées sur un disque ou un support de sauvegarde. Google Cloud est le premier grand fournisseur cloud à offrir par défaut le chiffrement au repos au moyen d'une approche multicouche incluant le chiffrement tant au niveau de l'appareil de stockage qu'au niveau du système de stockage.

Pourquoi cette fonctionnalité est-elle importante ?

Le chiffrement au repos évite que les données stockées dans un cloud public soient divulguées à des personnes et à des systèmes non autorisés. Tandis que de nombreux fournisseurs se contentent de proposer le chiffrement au niveau de l'appareil de stockage, qui protège les données contre les risques physiques, Google Cloud offre également le chiffrement au niveau du système de stockage. Ainsi, Google Cloud peut effectuer des tâches opérationnelles telles que la sauvegarde de vos données sans que ses ingénieurs ou équipes d'assistance n'accèdent à vos contenus.

Comment Google Cloud met en œuvre le chiffrement au repos

Google utilise plusieurs niveaux de chiffrement pour protéger les données au repos de ses clients stockées dans les produits Google Cloud.

Les données stockées sont divisées en fragments, et chacun d'entre eux est chiffré avec une clé de chiffrement des données unique. Ces clés de chiffrement sont stockées avec les données, puis chiffrées (ou "encapsulées") à l'aide de clés de chiffrement de clés, elles-mêmes stockées et utilisées exclusivement dans le service de gestion des clés central de Google. Ce service est redondant et distribué à l'échelle mondiale. Les données stockées dans Google Cloud sont chiffrées au niveau de l'espace de stockage à l'aide de l'algorithme AES256 ou AES128.

Google utilise Tink, une bibliothèque de cryptographie commune, pour mettre en œuvre le chiffrement de manière cohérente dans la quasi-totalité des produits Google Cloud. Cette bibliothèque étant largement accessible, seule une équipe réduite de spécialistes du chiffrement est requise pour assurer la mise en œuvre et la gestion correctes de ce code étroitement contrôlé et révisé.

Pour plus d'informations, consultez le livre blanc intitulé Chiffrement au repos dans Google Cloud Platform.

Suite de produits

Cloud Storage

Fait

Nos pratiques de chiffrement font l'objet d'au moins un audit par an par des tiers. Pour plus d'informations sur le chiffrement au repos dans Google Cloud, consultez notre rapport d'audit SOC 2.

Accès privilégié

Une gestion appropriée des accès privilégiés au sein d'une organisation peut contribuer à éviter la divulgation accidentelle de données sensibles et à réduire les risques d'accès non autorisés.

Pourquoi cette fonctionnalité est-elle importante ?

Lorsque vous stockez vos données dans un cloud public, il est important non seulement de mettre en place une gestion appropriée des accès accordés à votre personnel, mais également de savoir comment le fournisseur cloud s'assure que ses employés n'aient accès à vos données qu'à des fins professionnelles légitimes. Le fournisseur cloud ne doit accéder à ces données que sur instruction du client, à des fins de bon fonctionnement du service ou de conformité avec une obligation légale.

Comment Google Cloud met en œuvre la gestion des accès privilégiés

Pour assurer la validité de l'accès aux données des clients, Google Cloud utilise, en plus du chiffrement, des identités fortes pour les personnes et les comptes de service, des systèmes de LCA et un contrôle interne semblable à l'autorisation binaire. Pour l'accès aux données stockées dans les services intégrés Access Transparency, des contrôles techniques supplémentaires prévoient la création d'un journal enregistrant les justifications professionnelles pour chaque accès. Ces accès sont régulièrement contrôlés et audités.

Pour découvrir comment réduire les risques internes, regardez cette présentation vidéo.

Suite de produits
Fait

Dans certains cas, le personnel de Google est amené à accéder aux données des clients. Cette situation se présente principalement en raison d'événements initiés par les clients, par exemple lorsqu'ils contactent le service clientèle ou signalent une utilisation abusive de documents G Suite publics. Pour les services intégrant la fonctionnalité Access Transparency, nous vous informons à chaque fois que le personnel de Google Cloud accède aux données de vos clients.

Intégrité du déploiement

L'intégrité du déploiement désigne la capacité de Google Cloud à garantir que le code et les configurations déployés dans son environnement de production et interagissant avec les données des clients sont correctement examinés et autorisés. L'autorisation binaire pour Borg, ou BinAuthz, est une vérification interne de l'application forcée lors du déploiement. Cette fonctionnalité s'assure que les logiciels de production et la configuration déployés par Google Cloud sont dûment examinés et autorisés, en particulier si le code en question a accès aux informations sur l'utilisateur.

Pourquoi cette fonctionnalité est-elle importante ?

BinAuthz s'assure que les déploiements de code et de configuration respectent au minimum certaines normes. Ce service peut également être utilisé lors d'un audit consultatif pour signaler que certaines conditions ne sont pas remplies. L'adoption de BinAuthz permet à Google Cloud de réduire les risques internes, de prévenir d'éventuelles attaques et d'assurer l'uniformité des systèmes de production de Google. Si la gestion des accès privilégiés a pour but de s'assurer que tout accès aux données par des personnes est autorisé, l'intégrité du déploiement quant à elle permet de s'assurer que l'accès automatisé aux données est autorisé. Grâce à cette vérification, chaque accès automatique aux données des clients et chaque modification apportée à l'environnement de production génère une piste d'audit.

Comment Google Cloud met en œuvre l'intégrité du déploiement

Notre infrastructure est conçue pour des systèmes hautement évolutifs utilisant un système de gestion de clusters appelé Borg. Nous exécutons des centaines de milliers de tâches à partir de nombreuses applications différentes, sur de multiples clusters pouvant comporter chacun jusqu'à plusieurs dizaines de milliers de machines. Ainsi, notre environnement de production est relativement homogène, et facilite l'audit et le contrôle des points de contact permettant l'accès aux informations sur les utilisateurs. BinAuthz assure un service d'application forcée lors du déploiement, qui permet d'empêcher le démarrage des tâches non autorisées, et génère une piste d'audit du code et de la configuration utilisés dans les tâches compatibles BinAuthz.

Pour en savoir plus, consultez le livre blanc intitulé L'autorisation binaire pour Borg.
Suite de produits
Fait

Chaque service Google Cloud en mode Aperçu ou Disponibilité générale nécessite l'activation d'une autorisation binaire pour Borg sur les tâches ayant accès aux données des clients.

Offres de conformité

La transition vers le cloud implique de protéger les charges de travail sensibles tout en garantissant la conformité avec des consignes, des cadres et des exigences réglementaires complexes, qui varient en fonction des régions et des secteurs. Ces exigences peuvent être émises par des autorités réglementaires ou créées par des organismes de normalisation réputés, entre autres. Google Cloud accompagne des clients du monde entier intervenant dans des secteurs d'activité variés. De ce fait, nous comprenons parfaitement l'importance de les aider à répondre à leurs besoins de conformité, condition sine qua non à la poursuite de leurs activités. Google Cloud est régulièrement soumis à des contrôles indépendants de ses dispositifs de sécurité, de protection de la vie privée et de conformité, validés par des certifications, des attestations de conformité ou des rapports d'audit basés sur les normes internationales. Dans les cas où des attestations ou des certifications officielles ne sont pas nécessairement requises ou appliquées, nous avons également créé des documents de référence et établi des correspondances avec des lois et des cadres réglementaires.

Voir toutes les offres de conformité
Pourquoi cette fonctionnalité est-elle importante ?

Nous comprenons que vous avez besoin d'une vérification indépendante de la sécurité, de la protection de la vie privée et de la conformité de nos produits, ainsi que de nos certifications, attestations de conformité et rapports d'audit répondant aux normes internationales. Ces documents attestent qu'un auditeur indépendant a examiné les dispositifs de contrôle que nous avons mis en place au niveau de nos centres de données, de notre infrastructure et de nos opérations. Parmi ces certifications figurent celles correspondant aux normes de sécurité indépendantes les plus reconnues au niveau international, telles que les normes ISO/IEC 27001 pour les contrôles de sécurité, ISO/IEC 27017 pour la sécurité cloud et ISO/IEC 27018 pour la protection des informations personnelles dans le cloud, sans oublier les normes SOC 1, SOC 2 et SOC 3 de l'AICPA. Ces certifications nous permettent de répondre aux exigences des standards de l'industrie, tels que CSA STAR et PCI DSS, ainsi que d'autres normes régionales. Nous continuons à étendre notre liste d'offres de conformité à l'échelle mondiale pour aider nos clients à respecter leurs obligations de conformité.

Comment Google Cloud met en œuvre la conformité

Nos services sont régulièrement soumis à des contrôles indépendants de leurs dispositifs de sécurité, de protection de la vie privée et de conformité, ce qui nous permet d'obtenir des certifications, des attestations de conformité ou des rapports d'audit basés sur les normes internationales. Chaque année, nous évaluons les services proches d'une disponibilité générale afin de les intégrer à nos principaux cycles d'audit.

Pour savoir comment nous respectons une offre de conformité spécifique, consultez la page Gestionnaire des rapports de conformité. Vous pourrez y consulter les rapports d'audit tiers qui attestent de notre conformité aux principaux cadres réglementaires et normes.

Suite de produits
Fait

Toutes les offres de conformité nécessitant une attestation ou une certification officielle sont validées par un organisme tiers indépendant.

Consulter les rapports d'audit indépendants concernant nos produits